安全公告
Microsoft 安全公告 MS01-027 - 重要
Web 服务器证书验证中的缺陷可能导致欺骗
发布时间: 2001 年 5 月 16 日 |更新时间:2003 年 6 月 23 日
版本: 1.4
最初发布: 2001 年 5 月 16 日
更新时间: 2003 年 6 月 23 日
总结
谁应该阅读此公告:
使用 Microsoft® Internet Explorer 的客户。
漏洞的影响:
欺骗受信任的网站。
建议:
客户应考虑应用修补程序。
受影响的软件:
- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 5.5
常规信息
技术详细信息
技术说明:
修补程序可用于消除影响 Internet Explorer 的两个新发现的漏洞,这两个漏洞都可能导致攻击者欺骗受信任的网站。 第一个漏洞涉及如何验证来自 Web 服务器的数字证书。 启用此类证书的 CRL 检查后,可能不再执行以下任何或全部检查:
- 验证证书是否未过期
- 验证服务器名称是否与证书上的名称匹配
- 验证证书的颁发者是否受信任
第二个漏洞可能使网页能够在 IE 地址栏中显示来自不同网站的 URL。 此欺骗可能在与模拟站点的有效 SSL 会话中发生。 这两个漏洞都可用于说服用户,攻击者的网站实际上是不同的网站,用户大概信任该漏洞,并将提供敏感信息。 但是,如下面的“缓解因素”部分所述,利用任一漏洞将存在重大障碍。
除了消除这两个新漏洞外,该修补程序还消除了以前讨论过的漏洞的两个新变体,即最初在 Microsoft 安全公告 MS00-033 中讨论的“帧域验证”漏洞。 与原始版本一样,这些新变体漏洞可能使恶意网站操作员能够打开两个浏览器窗口,一个位于网站的域中,另一个位于用户的本地文件系统上,并将信息从后者传递到前者。 这样,网站操作员就可以读取可在浏览器窗口中打开的用户本地计算机上的任何文件。
可以通过安装修补程序或升级到不受影响的版本来消除这些漏洞。 但是,如常见问题解答和知识库文章Q308411中所述,在运行 Windows 95、98、98、98标准版 或 ME 的系统上升级到 IE 6 的客户必须选择典型安装(这是默认安装)或完全安装才能消除漏洞。
缓解因素:
服务器证书验证漏洞:
- 此漏洞仅影响验证来自 Web 服务器的证书的方式。 它不会影响验证代码签名证书或任何其他类型的证书的方式。
- 可能绕过的特定检查因用户和她在当前浏览会话期间可能执行的操作而异。 攻击者无法预测特定情况下可能会绕过检查的任何确定性。
- 该漏洞不提供任何强制用户访问攻击者网站的方法。 这种漏洞很可能只能与成功的 DNS 中毒或类似攻击结合使用。
网页欺骗漏洞:
- 与上述漏洞一样,此漏洞不会提供任何方法来强制用户访问攻击者的网站,DNS 中毒或其他措施可能需要利用它。
- 页面中的任何超链接都会正确显示目标。 因此,攻击者需要将这些位置指向欺骗网站中的正确位置,因此攻击者可能只能欺骗单个网页,而不是整个网站。
“帧域验证”漏洞的新变体:
- 漏洞只能用于读取文件,而不是添加、删除或更改文件。
- 攻击者需要知道他希望读取的每个文件的确切名称和位置。
- 漏洞只能用于读取可在浏览器窗口中打开的文件类型,例如,.htm、.txt或.doc文件,但不能.exe或.xls文件。
漏洞标识符:
- 服务器证书验证漏洞: CAN-2001-0338
- URL 欺骗漏洞: CAN-2001-0339
- “帧域验证”漏洞的新变体: CAN-2001-0246 和 CAN-2001-0332
测试的版本:
Microsoft 测试了 Internet Explorer 5.01 和 5.5,以评估它们是否受这些漏洞的影响。 以前的版本不再受支持,可能会或不受这些漏洞的影响。
常见问题解答
本公告中讨论了哪些漏洞?
本公告讨论了四个安全漏洞:
- 影响从 Web 服务器验证数字证书的方式的漏洞。
- 影响网页显示的 URL 的漏洞。
- 前面讨论 的“帧域验证” 漏洞的两个新变体。
除了消除这些漏洞之外,此处提供的修补程序是否执行任何操作?
是的。 它还包含以前在 Microsoft 安全公告 MS01-020 中提供的修补程序的功能。 为此,客户可以更方便地保护其系统免受其中讨论的漏洞。
这些漏洞是否会影响 IE 6?
否。 可以通过升级到 IE 6 来消除它们。 但是,如果你运行的是 Windows 95、98、98Se 或 ME,则应注意你需要以某种方式安装 IE 6。 具体而言,需要选择“完全安装”或“典型安装”选项。 (默认安装类型为典型安装)。 如果选择“最小安装”或“自定义安装”,则包含漏洞的文件可能无法升级,并且系统可能仍然易受攻击。
运行 Windows NT 4.0、Windows 2000 或 Windows XP 的客户无需关注此应变情况,因为 IE 6 在这些系统上安装时不提供“最小”或“自定义安装”选项。 其中一个系统上的任何升级到 IE 6 都将完全消除漏洞。 有关此操作的详细信息,请参阅知识库文章Q308411。
影响数字证书的漏洞的范围是什么?
当 IE 配置为对 Web 服务器提供的数字证书执行某些类型的检查时,它不再执行其他预期的检查。 这可能会使攻击者的网站伪装成受信任的网站。
利用此漏洞将是一个极其艰巨的挑战。 该漏洞不提供任何方法,无法实际将 Web 会话从受信任的站点转移到攻击者的网站, 它只提供一种方法,在访问者到达那里后,将网站传出。 将流量转移到站点需要攻击者成功执行 DNS 中毒或其他技术困难的攻击作为先决条件。
导致漏洞的原因是什么?
当为服务器证书启用 CRL 检查时,IE 中的缺陷会导致不再执行某些证书检查。 具体而言,如果选择了 CRL 检查,IE 可能无法正确验证根 CA 的信任状态、证书的到期日期或证书中指定的公用名。
什么是 CRL?
CRL(证书吊销列表)是已知不可信的数字证书列表。 数字证书由名为证书颁发机构(CA)的组织颁发。 每个 CA 会根据到期日期和其他信息定期发布可能有效的所有证书的列表,但实际上并不有效。 例如,证书可能已丢失或被盗,或者颁发证书的人员可能不再有权使用该证书。 有关 CRL 和 PKIS 的一般信息,请参阅 https:。
CRL 的检查方式有什么问题?
IE 检查 CRL 的方式没有什么错。 问题的原因是,如果启用了一种类型的 CRL 检查,则不再正确执行其他类型的检查。
可以使用哪些类型的 CRL 检查,哪些受漏洞影响?
IE 提供了两个选项,用于在不同情况下检查 CRL。 一个选项确定在 Web 服务器提供证书时是否检查 CRL。 另一个确定下载数字签名的程序或 ActiveX 控件时,CRL 是否检查。 只有与检查服务器证书关联的选项才会受到漏洞的影响。
如果启用了服务器证书 CRL 检查,哪些类型的检查无法正常工作?
该缺陷可能会阻止执行以下任何或全部检查:
- 验证证书是否未过期
- 验证服务器名称是否与证书上的名称匹配
- 验证证书的颁发者是否受信任
漏洞是否阻止这些检查被制造,或者它是否仅阻止在某些情况下进行这些漏洞?
它只阻止在某些情况下进行检查。 有许多因素可以确定哪些检查会继续正确进行,其中大多数是用户浏览历史记录的功能。 两个浏览器相同配置的用户可能会受到漏洞的完全不同的影响,具体取决于他们之前访问的站点以及他们以前验证的证书。
如果未启用服务器证书 CRL 检查,这些检查是否正常工作?
是的。 如果禁用 CRL 检查(这是默认条件),则所有其他检查一直都正确执行。 仅当 CRL 检查启用时,它们才偶尔正常运行。
此漏洞会使攻击者能够执行哪些操作?
在最坏的情况下,攻击者可以代表他的网站,就像这是一个不同的网站-一个访问者可能信任。
假设约翰经营了一个网站,但想模拟简的网站。 我们还假设约翰有一种手段,导致人们到达他的地点时,他们实际上打算去简的。 (稍后我们将更详细地讨论问题的这一方面)。 这种漏洞将为约翰提供一种方法,以说服访问者,他们实际上是在简的站点,提供一个证书,将传递所有预期的检查。
John 如何创建一个证书来传递检查?
他有两种方式可以这样做,这取决于他想欺骗的检查中的哪一个。 例如,他可能:
- 设置自己的 CA,并向自己颁发证书,该证书将自己的网站标识为 Jane 的证书。 浏览器未正确检查证书颁发者的访问者会错误地认为证书是正确的。
- 以自己的名义从真正的受信任颁发者获取证书。 浏览器未检查证书上的名称的访问者会错误地得出结论,这是正确的。
不过,需要记住的一个重要要点是,不同的访问者浏览器会受到漏洞的影响不同。 因此,无论 John 选择的选项如何,它都不会在每个访问者的计算机上工作。
你说约翰需要一种方法,让游客到达他的地点,当他们打算去简的。 他怎么能做到这一点?
约翰只能强迫游客不知不觉地到他的站点,如果他可以成功装载 DNS 中毒攻击。 DNS 中毒攻击涉及破坏 DNS 服务器并更改其数据库,以便它错误地将特定 URL(如 Jane 站点的 URL)解析为其他服务器的 IP 地址(在本示例中,是 John 站点的 URL)。
DNS 中毒攻击充满了攻击者的问题:
- 他们很难进行。
- 它们的影响往往只是暂时的。 DNS 服务器会不断更新其数据库,甚至遭到入侵的数据库最终也会恢复提供正确的信息。
- 它们的效果是局部的。 不同的用户依赖于不同的 DNS 服务器,因此攻击者需要入侵其预期受害者使用的特定 DNS 服务器。
为服务器证书启用 CRL 检查的频率是多少?
实际上,CRL 检查往往仅在部署公钥基础结构的企业中使用。
如果我不使用 CRL 检查,是否需要应用修补程序?
否。 但是,你可能需要考虑将其作为应变应用,以防你决定稍后启用 CRL 检查。
如何判断是否已为服务器证书启用 CRL 检查?
从“IE 工具”菜单中选择“选项”,然后单击“高级”选项卡。向下滚动到“安全”部分,查看是否已选择“检查服务器证书吊销”。 如果已启用服务器证书 CRL 检查,则受漏洞影响。 默认情况下不选择。
紧邻此选项,标题为“检查发布者的证书吊销”,是指下载数字签名程序和 ActiveX 控件时是否检查 CRL。 如上所述,此选项不会以任何方式受到漏洞的影响。
在 Microsoft 安全公告 MS01-017 中,你说 CRL 在 IE 中检查正常工作,但现在你正在提供一个修补程序来解决涉及 CRL 检查的问题。 这些语句如何一致?
此公告和 Microsoft 安全公告 MS01-017 讨论了两种完全不同的证书类型,其中包含两种完全不同的验证机制。 此公告中颁发的证书用于标识 Web 服务器;MS01-017 中讨论的用于对程序进行数字签名。 IE 在打开 CRL 检查时无法正确处理 Web 服务器证书;但在打开 CRL 检查时,它会正确处理代码签名证书。
修补程序如何消除此漏洞?
即使启用了服务器证书 CRL 检查,该修补程序也能确保执行所有预期的检查,从而消除漏洞。
影响网页显示的 URL 的漏洞的范围是什么?
此漏洞可能导致攻击者使其看起来来自其网站的内容实际上源自另一个网站。 如果用户信任其他网站,攻击者可能能够说服用户提供敏感信息或个人信息。 攻击者的站点有可能建立一个 SSL 会话,该会话似乎确认内容是真实的。
此漏洞的范围存在两个重大限制:
- 与上面讨论的漏洞一样,此漏洞不提供任何方式来实际导致用户到达攻击者的网站-它只提供一种方法,作为真正的网站,一旦访问者到达那里。
- 该漏洞可能仅使攻击者能够令人信服地欺骗目标网站上的单个页面。
导致漏洞的原因是什么?
漏洞结果是因为浏览器窗口可以在地址栏中显示另一个网站的 URL。 此外,还可以与另一个站点建立 SSL 会话,以便提供令人信服的证明 URL 是正确的。
攻击者如何利用此漏洞?
攻击者可能使用此漏洞来欺骗另一个网站,也就是说,他的网站可能会利用此漏洞来呈现一个网页,该网页适用于所有意向和目的,这些网页似乎是其他网站上的一个页面。
例如,假设 Joe 操作网站。 如果他能说服简访问他的网站,他可能会利用这个漏洞,使简似乎她实际上是在她的银行网站。 然后,Joe 可能会使用欺骗页面来说服 Jane 为她的网上银行帐户输入 PIN。
漏洞是否使攻击者能够欺骗受 SSL 保护的会话?
是的。 通过仔细操作网页,攻击者有可能使其内容出现在与欺骗网站的有效 SSL 会话中。 在我们的示例中,这将使 Joe 的假内容不仅能够显示 Jane 的网上银行网站的 URL,还可以显示指示会话受 SSL 保护的“锁定”图标。 此外,如果简单击“锁”图标并检查证书,它将通过检查 - 因为它确实是她的银行的数字证书。
这会使攻击者能够欺骗整个站点吗?
否。 该漏洞不提供欺骗页面上的超链接的任何方法。 但是,Joe 可能使用其他技术的组合来欺骗网站上的多个页面。 即使在这种情况下,Joe 也只能欺骗网站上的安全(SSL 保护)页面。 如果站点被欺骗(与大多数安全站点一样)由 SSL 和非 SSL 页面的组合组成,则 Joe 将无法欺骗非 SSL 页面,并且会在链接到非 SSL 页面之后运行 Jane 的风险,从中中断欺骗攻击。 当然,一旦简跟随其中一个链接,她将不再在乔的网站上,他不可能让她回来
攻击者是否可以使用此漏洞强制用户访问其网站?
否。 与上面讨论的漏洞一样,此漏洞将提供一种在用户到达攻击者站点后愚弄用户的方法,但不会提供一种方法,让她首先来到该网站。 攻击者可能需要利用 DNS 中毒或其他一些技术攻击,这些攻击都不容易执行。
修补程序如何消除此漏洞?
该修补程序通过更改受影响的函数来消除此漏洞,以防止 HTML 代码操作显示的 URL。
“帧域验证”漏洞的两个新变体的范围是什么?
Microsoft 安全公告 MS00-033 中讨论的新变体的范围与原始变体的范围完全相同。 尽管漏洞的根本原因不同,但两者都可能使操作网站的攻击者能够查看访问用户计算机上的文件。 攻击者需要知道用户计算机上的文件的名称和位置,并且只能查看可在浏览器窗口中打开的文件。
在哪里可以找到有关“帧域验证”漏洞的详细信息?
Microsoft 安全公告 MS00-033、 MS00-055、 MS00-093 和 MS00-015 详细讨论了漏洞以前的变体。
新变体和以前的变体之间是否有任何差异?
新变体的原因、效果和修正与之前报告的原因、效果和修正完全相同。
- 新变体(如前面的变体)发生,因为某些函数不会阻止不同域中的浏览器窗口相互通信。
- 所有变体的效果都是相同的 - 攻击者可以在网站中打开浏览器窗口,在本地计算机上打开一个浏览器窗口,然后将数据从后一个窗口传输到前一个窗口。 这将使攻击者能够读取文件,但不能添加、更改或删除文件。
- 修正是应用修补程序,这会导致函数在不同域中正确隔离浏览器窗口。
新变体与前面讨论的变体之间只有两个差异:
- 包含缺陷的特定函数是不同的。
- 其中一个函数仅存在于 Windows 2000 系统上,因此无法对任何其他系统利用与该函数关联的变体。
此修补程序是否消除了原始变体和新变体?
是的。 在 Windows 2000 系统上安装时,该修补程序将消除新变体和前面的所有变体。 在任何其他系统上安装时,修补程序会消除以前的变体,但不会消除当前变体,因为它不会影响非 Windows 2000 系统。
修补程序可用性
下载此修补程序的位置
有关此修补程序的其他信息
安装平台:
此修补程序可以安装在运行 Internet Explorer 5.01 Service Pack 2 和 Internet Explorer 5.5 Service Pack 1 的系统上
包含在将来的 Service Pack 中:
此问题的修补程序将包含在 Internet Explorer 5.5 Service Pack 2 和 Internet Explorer 6 中。
取代的修补程序:
- IE 5.01 修补程序取代了 Microsoft 安全公告 MS01-020 中提供的修补程序。
- IE 5.5 修补程序取代了 Microsoft 安全公告 MS01-015 和 MS01-020 中提供的修补程序。
验证修补程序安装:
- 若要验证是否已在计算机上安装修补程序,请打开 IE,选择“帮助”,然后选择“关于 Internet Explorer”,并确认“更新版本”字段中列出了Q295106(IE 5.01)或Q299618(IE 5.5)。
- 若要验证各个文件,请使用知识库文章中提供的修补程序清单Q295106和Q299618。
注意:
使用 Windows 95、98、98、98标准版 或 ME 的客户,选择通过从受影响的版本升级到 IE 6 来消除这些阴性,应确保他们执行完整安装或典型安装,如常见问题解答中所述。
本地化:
此修补程序的本地化版本位于上面列出的“此修补程序下载位置”部分中列出的位置。
获取其他安全修补程序:
可从以下位置获取其他安全问题的修补程序:
- 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
- WindowsUpdate 网站也提供了修补程序
其他信息:
确认
Microsoft 感谢 Alp Sinan (Hasan Alpaslan Sinanoglu) 向我们报告网站欺骗问题以及“帧域验证”漏洞的新变体之一,并与我们合作来保护客户。
支持:
- Microsoft 知识库文章Q295106和Q299618讨论此问题,将在发布此公告大约 24 小时后提供。 可以在 Microsoft Online 支持网站上找到知识库文章。
- Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。
安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0(2001 年 5 月 16 日):公告已创建。
- V1.1(2001 年 5 月 24 日):已修订公告,指出 Internet Explorer 5.5 修补程序已从下载页中删除。
- V1.2(2001 年 5 月 25 日):公告修订为注意 Internet Explorer 5.5 修补程序的可用性,并请注意,此修补程序取代了 MS01-015 和 MS01-020 的 IE 5.5 修补程序。
- V1.3(2001 年 9 月 21 日):公告已更新,讨论在通过 IE 6 升级消除此漏洞时需要执行完整安装或典型安装。
- V1.4(2003 年 6 月 23 日):已更新Windows 更新下载链接。
构建于 2014-04-18T13:49:36Z-07:00</https:>